パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

IEにダウンロード警告を回避できる脆弱性」記事へのコメント

  • >回避方法は、信頼できないサイトではやたらと「クリック」しないこと。

    本当に,そんな方法で回避できるのですか?
    "やたらと"って秒何回までならOKなんだろうとか色々気になります.もう少し詳しく回避方法を教えてください :-p
    • ITMediaの記事斜め読みしただけですので、その前提でよろしく。

      閲覧だけでは無毒。
      頁の危険部位を一度でもクリックすると危険です。
      ただし、その危険部位は頁全部に及ぶ可能性はあります。

      webページにおけるIFRAMEの領域は
      攻撃者の意図(HTMLやCSSで書ける)に任されている。
      加えてBODY onclickを望むなら
      それっぽい背景画像をメニューにでも見せかければ足る。

      スクリプトで自動的にクリックさせるような操作が可能であ
      • >webページにおけるIFRAMEの領域は
        攻撃者の意図(HTMLやCSSで書ける)に任されている。

        オリジナルのPoCではクリックするまえにIFRAMEの領域は存在していません。IFRAMEの領域の大きさは罠にひっかかるかどうかとは無関係です。余談ですが、オリジナルのPoCでは、クリックでIFRAMEを生成しダウンロードさせしめた後に1秒たったらIFRAMEを領域を消しています。

        症状から見るに、自動ポップアップの禁止と同じ条件で、(自動)ダウンロードを禁止しようとしているみたいですね。間違ってますけど。したがって、onClickのかわりにonLoadやonMouseoverで代替するなど、明らかに自動的な場合には自動ダウンロードはブロックされるみたいですね。

        以上、どなたか確認願います。
        |
        --
        | 慈愛こそ慈愛
        親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...